Bedrohungserkennung

Schnell und effizient sowohl bekannte als auch unbekannte Bedrohungen erkennen

Was ist Bedrohungserkennung?

Bei der Erkennung von Bedrohungen wird die Gesamtheit eines Sicherheitsökosystems analysiert, um alle schädlichen Aktivitäten zu identifizieren, die das Netzwerk gefährden könnten. Wird eine Bedrohung erkannt, müssen Abhilfemaßnahmen ergriffen werden, um die Bedrohung zu neutralisieren, ehe diese vorhandene Schwachstellen ausnutzen kann.

Ein Sicherheitsverstoß ist ein Albtraumszenario, und die meisten Unternehmen, für die die Sicherheit ihrer Informationen an erster Stelle steht, setzen intelligente Mitarbeiter und Technologien ein, um sich gegen jegliche Angriffe zu schützen. Sicherheit ist jedoch ein fortlaufender Prozess – keine Garantie.

Im Rahmen des Sicherheitsprogramms eines Unternehmens wird das Konzept der „Bedrohungserkennung“ vielfältig gestaltet. Selbst die besten Sicherheitsprogramme müssen für das Worst-Case-Szenario planen, falls jemand oder etwas ihrer defensiven und präventiven Technologie entgangen und zu einer Bedrohung geworden ist.

Bei der Erkennung und Minimierung von Bedrohungen ist Geschwindigkeit von entscheidender Bedeutung. Sicherheitsprogramme müssen in der Lage sein, Bedrohungen schnell und effizient zu erkennen, damit Angreifer nicht genügend Zeit haben, um die vertraulichen Daten zu durchsuchen. Die Abwehrprogramme eines Unternehmens können im Idealfall die meisten Bedrohungen aufhalten, weil ihnen diese in der Vergangenheit bereits begegnet sind – was bedeutet, dass sie wissen, wie sie diese bekämpfen können. Diese Bedrohungen gelten als „bekannte“ Bedrohungen. Es gibt jedoch weitere, „unbekannte“ Bedrohungen, die ein Unternehmen erkennen können sollte. Dies bedeutet, dass das Unternehmen ihnen in der Vergangenheit nicht begegnet ist, etwa weil der Angreifer brandneue Methoden oder Technologien verwendet.

Bekannte Bedrohungen können manchmal sogar den besten Abwehrmaßnahmen entgehen, weshalb die meisten Sicherheitsorganisationen in ihrer Umgebung aktiv nach bekannten und unbekannten Bedrohungen suchen. Wie also kann ein Unternehmen sowohl bekannte als auch unbekannte Bedrohungen erkennen?

Im Verteidigungsarsenal gibt es mehrere Methoden, die von Nutzen sein können:

Nutzung von Informationen über Bedrohungen

Bei Informationen über Bedrohungen (Threat Intelligence) handelt es sich um die charakteristischen Daten von zuvor beobachteten Angriffen und den Vergleich mit Unternehmensdaten zur Identifizierung von Bedrohungen. Dies macht sie besonders wirksam bei der Erkennung bekannter Bedrohungen, nicht aber unbekannter. Informationen über Bedrohungen werden häufig beim Security Information and Event Management (SIEM), im Antivirus-, Intrusion-Detection-System (IDS) sowie von Web-Proxy-Technologien angewendet.

Analyse von Nutzer- und Angreiferverhalten

Mit der Analyse von Nutzerverhalten kann ein Unternehmen ein Grundverständnis dazu gewinnen, was als das normale Verhalten eines Mitarbeiters zu bezeichnen wäre: etwa welche Art von Daten er aufruft, zu welchen Zeiten er sich anmeldet und wo er sich befindet. Auf diese Weise gilt eine plötzliche Ausnahme in diesem Verhalten – etwa eine Anmeldung um 2 Uhr morgens in Shanghai von jemandem, der normalerweise von 9 bis 17 Uhr in New York arbeitet und nicht geschäftlich für das Unternehmen unterwegs ist – als ungewöhnlich und wäre für einen Sicherheitsanalysten von Interesse.

Bei Angreiferverhalten gibt es keine „Baseline“ im Hinblick auf Aktivität, mit der Informationen verglichen werden können. Stattdessen können im Laufe der Zeit im Netzwerk erkannte, geringfügige und scheinbar unzusammenhängende Aktivitäten tatsächlich eine Aktivität repräsentieren, die ein Angreifer hinterlassen hat. Es erfordert sowohl Technologie als auch den menschlichen Verstand, um diese Teile zusammenzufügen, aber sie können dazu beitragen, ein Bild von dem zu liefern, was ein Angreifer im Netzwerk eines Unternehmens möglicherweise vorhat.

Dem Angreifer Fallen stellen

Einige Ziele sind einfach zu verlockend für einen Angreifer, um ihnen zu widerstehen. Sicherheitsteams wissen das, sodass sie in der Hoffnung Fallen stellen, dass ein Angreifer den Köder schluckt. Im Unternehmenskontext könnte ein solcher Köder zum Beispiel Netzwerkdienste beinhalten – besonders verlockend sind dabei Anmeldedaten, die offenbar Benutzerrechte haben, die ein Angreifer benötigt, um auf vertrauliche Systeme oder Daten zuzugreifen. Greift ein Angreifer auf einen solchen Köder zu, löst er eine Warnmeldung aus, sodass das Sicherheitsteam weiß, dass sich im Netzwerk etwas Verdächtiges tut, das untersucht werden sollte. Erfahren Sie mehr über die verschiedenen Arten von Täuschungstechnologie.

Aufspüren von Bedrohungen

Anstatt zu warten, bis eine Bedrohung im Unternehmensnetzwerk erscheint, ermöglicht das aktive Aufspüren von Bedrohungen es Sicherheitsanalysten, sich aktiv in ihrem Netzwerk, Endpunkten und Sicherheitstechnologien umzusehen, um nach Bedrohungen oder Angreifern zu suchen, die möglicherweise noch nicht erkannt wurden. Dies ist eine fortgeschrittene Technik, die in der Regel von erfahrenen Sicherheits- und Bedrohungsanalysten durchgeführt wird.

Im Idealfall sollte ein gut entwickeltes Sicherheitsprotokoll unter anderem alle oben genannten Taktiken beinhalten, um die Sicherheit von Mitarbeitern, Daten und kritischen Assets des Unternehmens zu überwachen.

Die Erkennung von Bedrohungen erfordert einen zweigleisigen Ansatz

Die Erkennung von Bedrohungen erfordert sowohl ein menschliches als auch ein technisches Element. Das menschliche Element umfasst Sicherheitsanalysten, die Trends, Datenmuster, Verhalten und Berichte analysieren und auch diejenigen, die feststellen können, ob irreguläre Daten eine potenzielle Bedrohung darstellen oder ein falscher Alarm sind.

Die Technologie des Aufspürens von Bedrohungen spielt jedoch im Erkennungsprozess ebenfalls eine wichtige Rolle. Es gibt keine Wunderwaffe bei der Erkennung von Bedrohungen – kein einzelnes Werkzeug, das diese Aufgabe übernimmt. Stattdessen fungiert eine Kombination von Tools als Fang- und Schutznetz im gesamten Netzwerk eines Unternehmens und kann versuchen Bedrohungen abzufangen, ehe sie zu einem ernsten Problem werden.

Ein solides Programm zur Erkennung von Bedrohungen sollte Folgendes beinhalten:

  • Technologie zur Erkennung von Sicherheitsbedrohungen und zur Erfassung von Ereignisdaten im gesamten Netzwerk einschließlich Authentifizierung, Netzwerkzugang und Protokollen kritischer Systeme.
  • Technologie zur Erkennung von Netzwerk-Bedrohungen zum Verständnis von Traffic-Mustern im Netzwerk und zur Überwachung von Traffic innerhalb und zwischen vertrauenswürdigen Netzwerken sowie im Internet.
  • Technologie zur Erkennung von Endpunktbedrohungen, um detaillierte Informationen über möglicherweise böswillige Ereignisse auf Benutzergeräten sowie alle Verhaltensdaten oder forensischen Informationen zu liefern, die bei der Untersuchung von Bedrohungen helfen können.

Durch die Kombination dieser Abwehrmethoden erhöhen Sie Ihre Chancen, eine Bedrohung schnell und effizient zu erkennen und Schäden durch diese zu minimieren. Sicherheit ist ein fortlaufender Prozess und es gibt keine Garantien. Es liegt an Ihnen sowie den Ressourcen und Prozessen in Ihrem Unternehmen, Ihr Unternehmen so sicher wie möglich zu halten.